Tatillerde Web Sitenizi Dolandırıcılardan Nasıl Korursunuz?
Yayınlanan: 2019-09-10Tatil sezonu, ailenizi ve arkadaşlarınızı bir araya getirmek için harika bir zamandır, ancak aynı zamanda insanların içindeki en kötü yönleri de ortaya çıkarabilir. Tatillerde web sitenizi nasıl koruyabilirsiniz? Hadi bulalım.
Bu nedenle tatil sırasında web sitenizi dolandırıcılardan ve web sitesi saldırılarından korumaya yönelik bu kılavuzu hazırladık.
Bu belgede, tatil dolandırıcılığı tehdidinin anlaşılmasından, şifreleme ve kullanıcı etkinliğinin izlenmesi gibi temel güvenlik önlemlerinin uygulanmasına kadar her şeyi ele alacağız.
Bu makalede:
- Tatil Dolandırıcılığı Tehdidini Anlamak
- React Native Uygulamalarında Web Sitesi Güvenliğinin Önemi
- Temel Güvenlik Önlemleri
- Kimlik Doğrulama ve Yetkilendirmenin Uygulanması
- Kullanıcı Verilerinin Güvenliğini Sağlama. Şifreleme
- DDoS Saldırılarına Karşı Koruma
- Şüpheli Etkinliği İzleme ve Günlüğe Kaydetme
- Üçüncü Taraf Kitaplığı ve Eklenti Güvenliği
- Güvenlik Denetimleri ve Güncellemeleri
Kaynak
Tatil Dolandırıcılığı Tehdidini Anlamak
Tatil dolandırıcılığı tehdidini anlamak için bunların ne olduğunu bilmek önemlidir. Dolandırıcılık, sahte vaatler veya diğer aldatıcı uygulamalarla başka birinden bir şeyler alma girişimidir.
Kimlik avı dolandırıcılığı, bir kişinin veya grubun meşru bir şirketten geliyormuş gibi görünen ancak alıcıları kişisel bilgilerini veya paralarını vermeleri için kandırmayı amaçlayan e-postalar göndermesidir.
Dağıtılmış hizmet reddi (DDoS) saldırısı, birden fazla bilgisayarın bir web sitesini çok fazla trafikle doldurması ve bu siteye erişmeye çalışan gerçek ziyaretçiler için sitenin erişilemez hale gelmesiyle ortaya çıkar.
Bu saldırı genellikle Amazon veya Netflix gibi büyük web sitelerini hedef alır çünkü bu siteler bir kez çöktüğünde, onları ziyaret eden herkes tekrar ayağa kalkana kadar acı çeker!
Web sitelerine yönelik bu teknik saldırılara ek olarak, bilgisayar korsanları tarafından sahiplerinin bilgisi olmadan uzaktan kontrol edilen, virüs bulaşmış bilgisayarlardan oluşan botnet'ler de vardır.
Dolandırıcıların, doğrudan dünya çapındaki kullanıcıları hedefleyen daha büyük kampanyaların parçası olarak tasarlanmış kötü amaçlı yazılım programlarına yönlendiren bağlantılar içeren spam e-postalarını yaymasına yardımcı olurlar.
Bu tehlikeli dosyalar, kimsenin bir şey olduğunu bilmeden sabit diskinizden veri çalabilir!
React Native Uygulamalarında Web Sitesi Güvenliğinin Önemi
Kaynak
Web sitesi güvenliği söz konusu olduğunda çok dikkatli olamazsınız. Saldırganların sitenizden para kazanabilmesinin birçok yolu vardır:
- DDoS saldırıları
- Dolandırıcılık ve kimlik avı saldırıları
- Bot ağları
Neyse ki kendinizi bu tehditlere karşı korumanın birçok yolu var.
Sizin tarafınızdan ve barındırma sağlayıcınız veya bulut sağlayıcınız (varsa) tarafından ne tür önlemlerin alınması gerektiğini bilmeniz için farklı tehdit türlerine ve bunların nasıl çalıştığına bakalım.
Ek olarak, çevrimiçi varlığınızı güvence altına alırken mobil uygulamalarınızın güvenliğini ve işlevselliğini sağlamak için güvenilir React Native geliştirme hizmetlerinden yararlanmayı düşünün.
React Yerel Web Siteleri için Temel Güvenlik Önlemleri
- SSL/TLS'yi kullanın
- Web sitelerini varsayılan olarak desteklemeseler bile mümkün olduğunda HTTPS kullanmaya zorlayan bir Firefox eklentisi olan HTTPS Everywhere'i kullanın.
- Tarayıcılara, HTTPS Everywhere gibi bir uzantı tarafından bunu yapmaya zorlanmasalar (ve dolayısıyla birbirleriyle birlikte kullanılamasalar bile) web sitesinin alan adı için her zaman HTTPS kullanmalarını söyleyen HSTS'yi uygulayın.
- Sitenizde CSP'yi etkinleştirin ve hassas bilgilerin komut dosyası etiketleri veya XHR istekleri yoluyla sızdırılmasını önlemek için doğru şekilde yapılandırın.
Kimlik Doğrulama ve Yetkilendirmenin Uygulanması
Kimlik doğrulama, kim olduğunuzu doğrulama işlemidir. Bu, sadece söylediğiniz kişi olduğunuzu nasıl kanıtladığınızdır.
Örneğin, Facebook veya Twitter'da oturum açarken kimlik doğrulama, kullanıcıların hesaplarına erişmeden önce kullanıcı adlarını ve şifrelerini girmelerini gerektirir.
Kimlik doğrulama, e-posta adresi doğrulaması veya telefon numarası doğrulama yoluyla da kullanıcının kimliğini doğrulayabilir.
En yaygın kimlik doğrulama biçimine Temel Kimlik Doğrulama (veya BASIC) adı verilir. Bu yöntem, daha güvenli olabilecek, şifrelenmemiş bir metin dizesinin parçası olarak kullanıcı adınızı ve şifrenizi HTTP üzerinden göndermeyi içerir!
Bunun yerine, güvenli web API'leri için OAuth2 ile HTTPS kullanın, böylece sitenizdeki müşterilerle ilgili hassas bilgilere yalnızca yetkili kişiler erişebilir (özellikle e-ticaret siteleri bunu dikkate almalıdır).
Daha fazla güvenlik için iki faktörlü kimlik doğrulamayı (2FA) uygulamayı da düşünmelisiniz.
2FA, kullanıcıların başarıyla giriş yapabilmeleri için hem bildikleri bir şeye (PIN kodu gibi) hem de sahip oldukları bir şeye (bir uygulama gibi) sahip olmalarını gerektirir.
Kullanıcı Verilerinin Şifrelemeyle Güvenliğini Sağlama
Şifreleme, verileri bilgisayar korsanlarından ve yetkisiz kullanıcılardan korumanın en etkili yoludur. Şifreleme, şifreleri, kredi kartı numaralarını ve diğer hassas bilgileri korur .
Şifreleme işlemi, verileri yalnızca yetkili tarafların okuyabileceği şekilde kodlamayı ve ardından tekrar erişmeniz gerektiğinde aynı verilerin şifresinin çözülmesini içerir.
Örneğin, bilgisayarınızda Outlook veya Gmail gibi bir e-posta istemcisi kullanıyorsunuz. Ve siz uzaktayken hiç kimsenin (bilgisayar korsanları dahil) e-postalarınızı görmesini istemezsiniz.
Bu e-postalar şifrelenmeseydi ne olurdu? Bunlara erişim sağlayabildiler mi?
Peki, sana söyleyeyim...EVET! İstediklerini görebilirlerdi! Belki gelecek hafta Noel yemeği için nereye gideceğinize dair mesajlar gibi!
Ya da daha da kötüsü... bu yıl kime hediye aldığınızı tam olarak gösteren resimler olabilir! Eee!
DDoS Saldırılarına Karşı Koruma
Kaynak
DDoS (dağıtılmış hizmet reddi) saldırısı, bir bilgisayar korsanının web sitenizi meşru ziyaretçilerin erişemeyeceği kadar fazla trafikle doldurmasıdır.
Bunu kötü amaçlı yazılım veya botnet kullanarak yapabilirsiniz: virüs bulaşmış ve bilgisayar korsanlarının kontrolü altındaki bilgisayar ağları.
DDoS saldırılarının tatil sezonunda gerçekleşmesi bekleniyor çünkü bu saldırıların gerçekleştirilmesi kolay ve normal kullanıcı davranışını taklit ettiğinden güvenlik yazılımı tarafından tespit edilemiyor.
Bu saldırılara karşı korunmak için, Kara Cuma, Siber Pazartesi gibi trafiğin yoğun olduğu dönemler veya insanların sitenizi toplu olarak ziyaret etme olasılığının yüksek olduğu diğer zamanlar için sitenizin yeterli bant genişliğine ve sunucu kapasitesine sahip olduğundan emin olmanız gerekir.
Personel konusunda daha fazla teknik uzmanlığa ihtiyacınız varsa bazı koruma hizmetlerine de yatırım yapmak isteyebilirsiniz; DDoS saldırılarıyla nasıl başa çıkacağını bilen bir uzmanı işe almak, gelecekte zamandan (ve paradan) tasarruf etmenizi sağlayacaktır!
Şüpheli Faaliyetlerin İzlenmesi ve Günlüğe Kaydedilmesi
Şüpheli etkinliklerin izlenmesi ve günlüğe kaydedilmesi şarttır. Dolandırıcıların saldırısına uğrayan bir siteniz varsa, gelecekte sitenize erişmelerini engelleyebilmeniz için ne yaptıklarını bilmeniz önemlidir.
Ancak izleme, web sitesini kesintiye uğratmayacak veya müşterilerinizle ilgili hassas verileri açığa çıkarmayacak en basit şekilde yapılmalıdır.
Örneğin, Google Analytics kullanıyorsanız, raporlarınıza kişisel olarak tanımlanabilecek herhangi bir bilgi (PII) eklemeyin; çünkü birisi bu bilgileri başka yollarla (e-posta sızıntısı gibi) ele geçirirse, bu verileri kimlik avı kampanyası!
Üçüncü Taraf Kitaplığı ve Eklenti Güvenliği
Kaynak
Üçüncü taraf kitaplıkları sitenize işlevsellik katmanın harika bir yoludur ancak düzgün kullanılmadığı takdirde güvenlik riski oluşturabilir. Güvenli üçüncü taraf kitaplıkları kullandığınızdan emin olmak için aşağıdakileri kontrol edin:
- Kütüphane kodundaki güvenlik açıkları. Black Duck Open Hub veya Snyk gibi araçlarla otomatik güvenlik açığı taramaları çalıştırabilirsiniz.
Herhangi bir sorun tespit edilirse, bunları derhal düzeltin ve tekrar (veya daha erken) ele alınması gereken yeni güvenlik açıklarının ortaya çıkması durumunda bu araçları yakından izleyin.
- Geliştiricileri, zaman içinde WordPress çekirdeğindeki ve diğer bağımlılıklardaki (örneğin, PHP sürümleri) tüm güncellemeleri takip etti.
Eğer bunu yeterince yakın zamanda yapmamışlarsa (ki çoğu geliştirici düzenli olarak güncelleme yapmadığı için bu genellikle zordur), o zaman sitenizde bir yerde bu şeylerin bazı eski versiyonları hala kullanımda olabilir ve tahmin edin bu durumda kim suçlanacak? birşeyler yanlış gidiyor?
Bu, yalnızca bilgisayar korsanlarının bu eski sürümlerden yararlanmaya çalışmasının daha uzun süreceği anlamına gelmiyor, aynı zamanda bir saldırganın, geliştiricileri tarafından tamamen yamalanmadan önce bu sürümlerden birini ihlal etmeyi başarması halinde, o zaman hiçbir şey olmayacağı anlamına da geliyor. onlar için kolay bir yol olabilir çünkü o zamandan bu yana her şey güncellendi.
Düzenli Güvenlik Denetimleri ve Güncellemeler
Kaynak
Bir web sitesi sahibi olduğunuzda, sitenizin günlük işlemlerine kolayca kapılıp, alınması gereken güvenlik önlemlerini hatırlamanız gerekebilir.
Bu özellikle tatillerde, genellikle herkes için yoğun zamanlarda geçerlidir.
Düzenli güvenlik denetimleri sadece web siteleri için değil, tüm işletmeler için önemlidir ve hem iç hem de dış tehditler konusunda deneyimi olan bir uzman tarafından düzenli olarak yapılmalıdır.
Parolalardan (çok basit olmadıklarından emin olmak için) sunucunun çalışma süresine (hiçbir şeyin beklenmedik şekilde çökmemesini sağlamak) kadar her şeye bakacaklar.
Denetim süreci sırasında herhangi bir güvenlik açığı bulursanız, başkaları öğrenmeden önce bunları düzeltebilmeleri için derhal bir BT uzmanıyla iletişime geçmekten çekinmeyin!
Çözüm
Web sitenizin güvenliği birinci önceliktir ve kullanıcılarınızı ve işletmenizi korumak için gerekli adımları atmak çok önemlidir.
Umarız bu makale, verilerinizi nasıl koruyacağınızı anlamanıza yardımcı olmuştur. web sitesi tatillerde veya herhangi bir zamanda optimize edilir .
Hizmetlerimiz hakkında herhangi bir sorunuz varsa veya daha fazla bilgi istiyorsanız, lütfen bugün bizimle iletişime geçin!